Анализ необходимости оценки состояния систем менеджмента информационной безопасности
Время как важный фактор оценивания состояния системы с точки зрения бизнес потерь. Менеджмент информационной безопасности - часть управленческого комплекса, основанного на подходе рисков по созданию, внедрению, мониторингу системы защиты информации.
| Рубрика | Менеджмент и трудовые отношения |
| Вид | статья |
| Язык | русский |
| Дата добавления | 18.01.2021 |
| Размер файла | 11,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Анализ необходимости оценки состояния систем менеджмента информационной безопасности
Медведков Дмитрий Игоревич
Аннотация: Статья посвящена описанию необходимости оценки состояния систем менеджмента информационной безопасности (СМИБ)
Ключевые слова: СМИБ, система менеджмента информационной безопасности, информационная безопасность.
ANALYSIS OF THE NEED TO ASSESS THE STATUS OF INFORMATION SECURITY MANAGEMENT SYSTEMS
Annotation: The article describes the need to assess the status of information security management systems. (ISMS)
Keywords: ISMS, information security management system, information security.
Система менеджмента информационной безопасности является частью общей системы менеджмента, основанная на подходе рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности.
Для получения точной информации о состоянии СМИБ важно постоянно проводить мониторинг и анализ защищаемой информационной системы в ходе которого производится оценивание состояния системы. Вследствие усложнения систем менеджмента появляется необходимость совершенствования научно-методического аппарата оценивания данных систем. Эффективность принятых мер, которые связаны со сбором и обработкой информации о системе определяется качеством оценок показателей СМИБ к затраченным ресурсам на проведение утвержденных мероприятий. На качество оценок показателей СМИБ большое влияние оказывает организация проведения мероприятий. Важным фактором оценивания состояния системы, с точки зрения бизнес потерь, является время, таким образом, для проведения качественной оценки информационной системы необходимо составление плана-графика (например, диаграмма Ганта), с целью распределения всех необходимых утвержденных мероприятий оценивания. С учетом быстро растущей динамики доступности различных информационных технологий, которые могут использовать злоумышленники, растет и вероятность появления угроз обеспечения информационной безопасности.
Вследствие этого остро становится вопрос о необходимости постоянного аудита систем информационной безопасности, для обнаружения потенциально опасных «узких» мест (действия персонала, аппаратных и программных средств). Следует производить оценку СМИБ систематически, т.е. циклично, при этом критерии оценки должны уточняться на каждом последующем этапе, а результаты мероприятий, проведенных на предыдущих этапах, следует учитывать на следующих.
Учитывая все вышесказанное, очевидна необходимость постоянного совершенствования методологического аппарата оценивания систем менеджмента ИБ, который учитывал бы описанные недостатки.
Повышение качества оценки СМИБ [1], с учетом стохастических факторов, влияющих на систему. Под качеством будем понимать достоверность и точность оценок определяемых характеристик. Под ограничением понимаются временные и стоимостные характеристики. В условиях сильно ограниченного времени на проверку, ввод и отладку внедряемой системы возникают возможности обеспечения нарушения информационной безопасности, таким образом, перед внедрением системы в эксплуатацию, следует провести эксперимент, который покажет на сколько внедряемая система «приживется» и какие возможные угрозы информационной безопасности возникнут вследствие ее внедрения. Этим обуславливается актуальность темы дальнейшего исследования.
Проектировщики больших технических систем должны максимально обезопасить их работу от так называемого человеческого фактора. Чтобы оценить эффективность внедряемой системы до ее реализации на этапе проектирования, требуется рассмотреть процесс ее работы и взаимодействия с внешней средой. В таких случаях принято описывать систему и ее взаимодействие с внешней средой с помощью математических уравнений и осуществлять математическое моделирование. На основе предложенных математических моделей необходимо создать имитационную модель. В некоторых случаях для простых систем достаточно ограничиваться регрессионными закономерностями. Но в большинстве случаев такой подход невозможен ввиду сложности создаваемой системы и влияния внешних воздействующих факторов. Под внешними воздействующими факторами понимается набор параметров, влияющих на техническую систему, таких как неконтролируемые параметры (внешняя среда) и контролируемые параметры (смежные системы) [2]. Имитационная модель позволяет описать реальную систему и проходящие в ней процессы так, как если бы они проходили в реальном времени. Такую модель можно «прокрутить» на протяжении некоторого времени и тем самым выяснить, что будет происходить с системой за некоторый временной отрезок. Поэтому на этапах моделирования внедряемой системы не стоит преуменьшать роль обеспечения информационной безопасности.
Информация, принадлежащая организация является объектом для угроз атак, поэтому ошибки ПО, угрозы воздействия техногенного характера (пожары, наводнения, ураганы и пр.), намеренное воздействие на систему злоумышленниками [3].
Таким образом, правильно будет называть информацию активом, который имеет ценность и который необходимо защитить. Качество и эффективность работы организации напрямую зависит от обеспечения возможности своевременного получения доступа к этой информации.
Литература
менеджмент информационный безопасность бизнес
1. ISO/IEC 27000:2014. Information technology - Security techniques - Information security management systems - Overview and vocabulary
2. Бобков СП., Бытев Д.О. Моделирование систем. Иваново, 2008. 156 с.
3. ГОСТ Р ИСО/МЭК 27000-2012. Системы менеджмента информационной безопасности. Общий обзор и терминология.
Размещено на Allbest.ru
Подобные документы
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа [235,0 K], добавлен 03.02.2011Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа [1,0 M], добавлен 30.12.2011Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.
реферат [329,7 K], добавлен 06.01.2015Создание комплексной системы защиты информации на предприятии "ИТ Энигма". Резюме организации, ее уязвимость. Ограничения, исключения и предложения по мерам защиты, расчет рисков проекта. Структурная схема организации и матрица ответственности.
курсовая работа [41,8 K], добавлен 07.04.2008Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.
дипломная работа [612,1 K], добавлен 31.07.2011Системная пентада для системы информационного обеспечения предприятия, принципы ее моделирования. Классификация системы информационной обеспеченности предприятия. Функционально-морфологический анализ системы менеджмента безопасности пищевой продукции.
контрольная работа [357,3 K], добавлен 24.01.2013Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".
реферат [27,0 K], добавлен 06.10.2008Анализ современного состояния обеспечения безопасности строительства. Разработка модели интеграции системы менеджмента качества в систему управления безопасностью строительства на примере ООО "Нефтестройкомплект". Критерии результативности процесса.
курсовая работа [147,5 K], добавлен 30.04.2011Характеристика способов защиты информации на предприятии. Изучение информации внутреннего, внешнего и специального характера, необходимой для создания и использования системы защиты на микроуровне. Информационное взаимодействие со службами безопасности.
реферат [23,6 K], добавлен 10.06.2010
